一种报文流转发方法、装置、计算机设备制造方法及图纸

本说明书提供一种报文流转发方法、装置、计算机设备，方法应用于防护规则引擎，防护规则引擎独立于工业控制器的控制模块。该方法包括：拦截通过网络发送给控制模块的目标报文流；解析目标报文流，得到目标报文通信属性与目标命令集；判断目标报文通信属性与目标命令集是否命中任一合法权限识别规则；若命中，则基于若干命令识别规则，识别目标命令集是否会对所述控制模块产生攻击；若识别出目标命令集不会对控制模块产生攻击，则将目标报文流转发给控制模块。通过升级防护规则引擎中的规则，加强对控制模块的防护，且在防护规则引擎升级期间，不影响控制模块的正常运行。不影响控制模块的正常运行。不影响控制模块的正常运行。

【技术实现步骤摘要】
一种报文流转发方法、装置、计算机设备


[0001]本说明书涉及网络安全
，尤其涉及一种报文流转发方法、装置、计算机设备。

技术介绍

[0002]工业控制器通常应用于工业生产环境中，用于控制若干生产设备进行工业生产。常见的工业控制器例如可以是可编程逻辑控制器PLC和可编程自动化控制器PAC等。
[0003]在实际应用中，工业生产的技术人员可以通过网络下工业控制器下发携带有命令集的报文，工业控制器的控制模块需要执行接收到的报文中携带的命令集。
[0004]有时工业控制器会从网络接收到一些异常报文，这些异常报文中的命令集可能会对工业控制器的控制模块产生攻击，这些攻击例如可以是恶意代码注入、非法修改运行参数、非法修改I/O引脚配置、绕过权限验证、造成缓冲区溢出、非法访问受保护对象等。

技术实现思路

[0005]为克服相关技术中存在的问题，本说明书提供了一种报文流转发方法、装置、计算机设备。
[0006]根据本申请实施例的第一方面，提供一种报文流转发方法，应用于防护规则引擎，所述防护规则引擎独立于工业控制器的控制模块；所述防护规则引擎中预设有若干合法权限识别规则，每个合法权限识别规则包含：一组报文通信属性，以及，具有该组报文通信属性的报文可合法携带的命令提示符；所述防护规则引擎中还预设有若干命令识别规则，所述若干命令识别规则用于识别命令集是否会对所述控制模块产生攻击；所述方法包括：拦截通过网络发送给所述控制模块的目标报文流；所述目标报文流携带有目标命令集；解析所述目标报文流，得到目标报文通信属性与所述目标命令集；判断所述目标报文通信属性与所述目标命令集，是否命中任一所述合法权限识别规则；若命中任一所述合法权限识别规则，则基于所述若干命令识别规则，识别所述目标命令集是否会对所述控制模块产生攻击；若识别出所述目标命令集不会对所述控制模块产生攻击，则将所述目标报文流转发给所述控制模块。
[0007]在一个可行的实施方案中，所述报文通信属性，包括以下至少一种：报文源MAC地址；报文目的MAC地址；报文源IP地址；报文目的IP地址；报文目的端口；
报文遵循的通信协议。
[0008]在一个可行的实施方案中，所述防护规则引擎中还预设有若干合法报文识别规则，每个合法报文识别规则包括：一组报文通信属性；在判断是否命中任一所述合法权限识别规则之前，所述方法还包括：判断所述目标报文通信属性是否命中任一所述合法报文识别规则；判断所述目标报文通信属性与所述目标命令集，是否命中任一所述合法权限识别规则，包括：若命中任一所述合法报文识别规则，则基于所述目标命令集中的命令提示符判断所述目标报文通信属性与所述目标命令集，是否命中任一所述合法权限识别规则。
[0009]在一个可行的实施方案中，还包括：若未命中任一所述合法报文识别规则，则拒绝将所述目标报文流转发给所述控制模块。
[0010]在一个可行的实施方案中，还包括：若未命中任一所述合法权限识别规则，则拒绝将所述目标报文流转发给所述控制模块。
[0011]在一个可行的实施方案中，还包括：若识别出所述目标命令集会对所述控制模块产生攻击，则拒绝将所述目标报文流转发给所述控制模块。
[0012]在一个可行的实施方案中，所述目标命令集还包括命令执行顺序；每个命令识别规则用于表征：一个风险命令集，以及，该风险命令集中各个风险命令的至少一个安全执行顺序；其中，该风险命令集中的各个风险命令具有对所述控制模块的攻击风险，但是，按照所述安全执行顺序执行该风险命令集中的各个风险命令时，客观上不会对所述控制模块产生攻击；基于所述若干命令识别规则，识别所述目标命令集是否会对所述控制模块产生攻击，包括：针对任一命令识别规则，若所述目标命令集与该命令识别规则所表征的风险命令集相同，且所述目标命令集中的命令执行顺序与该命令识别规则所表征的安全执行顺序一致，则识别出所述目标命令集不会对所述控制模块产生攻击；若所述目标命令集与该命令识别规则所表征的风险命令集不存在相同的命令提示符，则识别出所述目标命令集不会对所述控制模块产生攻击；若所述目标命令集与该命令识别规则所表征的风险命令集相同，且所述目标命令集中的命令执行顺序与该命令识别规则所表征的安全执行顺序不一致，则识别出所述目标命令集会对所述控制模块产生攻击；若所述目标命令集与该命令识别规则所表征的风险命令集存在部分相同的命令提示符，则识别出所述目标命令集会对所述控制模块产生攻击。
[0013]在一个可行的实施方案中，还包括：若识别出所述目标命令集会对所述控制模块产生攻击，则记录所述目标报文流并进行告警。
[0014]根据本申请实施例的第二方面，提供一种报文流转发装置，应用于防护规则引擎，所述防护规则引擎独立于工业控制器的控制模块；所述防护规则引擎中预设有若干合法权限识别规则，每个合法权限识别规则包含：一组报文通信属性，以及，具有该组报文通信属性的报文可合法携带的命令提示符；所述防护规则引擎中还预设有若干命令识别规则，所述若干命令识别规则用于识别命令集是否会对所述控制模块产生攻击；所述装置包括：拦截单元，用于拦截通过网络发送给所述控制模块的目标报文流；所述目标报文流携带有目标命令集；解析单元，用于解析所述目标报文流，得到目标报文通信属性与所述目标命令集；第一判断单元，用于判断所述目标报文通信属性与所述目标命令集，是否命中任一所述合法权限识别规则；攻击识别单元，用于若命中任一所述合法权限识别规则，则基于所述若干命令识别规则，识别所述目标命令集是否会对所述控制模块产生攻击；转发单元，用于若识别出所述目标命令集不会对所述控制模块产生攻击，则将所述目标报文流转发给所述控制模块。
[0015]在一个可行的实施方案中，所述报文通信属性，包括以下至少一种：报文源MAC地址；报文目的MAC地址；报文源IP地址；报文目的IP地址；报文目的端口；报文遵循的通信协议。
[0016]在一个可行的实施方案中，所述防护规则引擎中还预设有若干合法报文识别规则，每个合法报文识别规则包括：一组报文通信属性；所述装置还包括：第二判断单元，用于在判断是否命中任一所述合法权限识别规则之前，判断所述目标报文通信属性是否命中任一所述合法报文识别规则；所诉第一判断单元，用于：若命中任一所述合法报文识别规则，则基于所述目标命令集中的命令提示符判断所述目标报文通信属性与所述目标命令集，是否命中任一所述合法权限识别规则。
[0017]在一个可行的实施方案中，所述装置还包括：第一拒绝单元，用于若未命中任一所述合法报文识别规则，则拒绝将所述目标报文流转发给所述控制模块。
[0018]在一个可行的实施方案中，所述装置还包括：第二拒绝单元，用于若未命中任一所述合法权限识别规则，则拒绝将所述目标报文流转发给所述控制模块。
[0019]在一个可行的实施方案中，所述装置还包括：第三拒绝单元，用于若识别出所述目标命令集会对所述控制模块产生攻击，则拒绝将所述目标报文流转发给所述控制模块。
[0020]在一个可行的实施方案中，所述目标本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种报文流转发方法，其特征在于，应用于防护规则引擎，所述防护规则引擎独立于工业控制器的控制模块；所述防护规则引擎中预设有若干合法权限识别规则，每个合法权限识别规则包含：一组报文通信属性，以及，具有该组报文通信属性的报文可合法携带的命令提示符；所述防护规则引擎中还预设有若干命令识别规则，所述若干命令识别规则用于识别命令集是否会对所述控制模块产生攻击；所述方法包括：拦截通过网络发送给所述控制模块的目标报文流；所述目标报文流携带有目标命令集；解析所述目标报文流，得到目标报文通信属性与所述目标命令集；判断所述目标报文通信属性与所述目标命令集，是否命中任一所述合法权限识别规则；若命中任一所述合法权限识别规则，则基于所述若干命令识别规则，识别所述目标命令集是否会对所述控制模块产生攻击；若识别出所述目标命令集不会对所述控制模块产生攻击，则将所述目标报文流转发给所述控制模块。2.如权利要求1所述方法，其特征在于，所述报文通信属性，包括以下至少一种：报文源MAC地址；报文目的MAC地址；报文源IP地址；报文目的IP地址；报文目的端口；报文遵循的通信协议。3.如权利要求1所述方法，其特征在于，所述防护规则引擎中还预设有若干合法报文识别规则，每个合法报文识别规则包括：一组报文通信属性；在判断是否命中任一所述合法权限识别规则之前，所述方法还包括：判断所述目标报文通信属性是否命中任一所述合法报文识别规则；判断所述目标报文通信属性与所述目标命令集，是否命中任一所述合法权限识别规则，包括：若命中任一所述合法报文识别规则，则基于所述目标命令集中的命令提示符判断所述目标报文通信属性与所述目标命令集，是否命中任一所述合法权限识别规则。4.如权利要求3所述方法，其特征在于，还包括：若未命中任一所述合法报文识别规则，则拒绝将所述目标报文流转发给所述控制模块。5.如权利要求1所述方法，其特征在于，还包括：若未命中任一所述合法权限识别规则，则拒绝将所述目标报文流转发给所述控制模块。6.如权利要求1所述方法，其特征在于，还包括：若识别出所述目标命令集会对所述控制模块产生攻击，则拒绝将所述目标报文流转发给所述控制模块。7.如权利要求1所述方法，其特征在于，所述目标命令集还包括命令执行顺序；每个命
令识别规则用于表征：一个风险命令集，以及，该风险命令集中各个风险命令的至少一个安全执行顺序；其中，该风险命令集中的各个风险命...

【专利技术属性】
技术研发人员：褚健，张志群，薛金良，陈超，
申请(专利权)人：浙江国利网安科技有限公司，
类型：发明
国别省市：